Aller au contenu principal
Retour aux articles

RGPD et données de santé : les obligations du site d'un professionnel de santé

7 min de lecture
15 juil. 2026
Mathieu Dury
Auteur

Un site de professionnel de santé n'est pas un site comme les autres. Dès qu'il touche à la santé des patients, il manipule des informations parmi les plus sensibles que le droit connaisse. Le RGPD encadre strictement ces données, et les manquements coûtent cher, en sanctions comme en confiance. Bonne nouvelle : se mettre en conformité relève surtout de bon sens et de quelques règles claires. Tour d'horizon des obligations à connaître avant de mettre votre site en ligne.

Les données de santé, une catégorie à part

Le RGPD distingue les données personnelles ordinaires (nom, adresse email) des données dites sensibles, qui bénéficient d'une protection renforcée. Les données de santé en font partie, au même titre que les opinions politiques ou l'orientation sexuelle. Leur traitement est en principe interdit, sauf exceptions précises comme le soin ou le consentement explicite du patient.

Concrètement, tout ce qui révèle l'état de santé d'une personne (un motif de consultation, un traitement, un antécédent) entre dans cette catégorie protégée. Un site de santé doit donc redoubler de prudence sur ce qu'il collecte et sur la manière dont il le conserve.

L'hébergement des données de santé (HDS)

Dès que vous stockez des données de santé de patients de façon identifiante, la loi impose de passer par un hébergeur certifié HDS (Hébergement de Données de Santé). Cette certification garantit un niveau de sécurité adapté à la sensibilité des informations. Un hébergement web classique ne suffit pas dans ce cas.

La bonne nouvelle, c'est que la plupart des sites vitrines de cabinet n'ont pas besoin d'héberger de telles données. Le HDS devient obligatoire dès que vous gérez des dossiers patients, un module de téléconsultation ou un formulaire qui recueille des informations médicales. Bien pensé, votre site peut souvent éviter d'en arriver là.

Formulaires de contact : ne collectez pas de médical

C'est l'erreur la plus fréquente. Un formulaire de contact doit permettre de vous joindre, pas de décrire une pathologie. Pour rester serein :

  • Limitez les champs au strict nécessaire : nom, moyen de contact, objet général de la demande.
  • Évitez le champ libre qui invite le patient à détailler ses symptômes.
  • Ajoutez une mention invitant à ne pas transmettre d'informations médicales par ce canal.

Si un échange sur la santé est nécessaire, orientez le patient vers un canal sécurisé ou vers la consultation. Moins vous collectez de données sensibles, moins vous portez de responsabilité.

Consentement, information et mentions obligatoires

Le RGPD repose sur la transparence. Vos visiteurs doivent savoir quelles données vous recueillez, pourquoi, et combien de temps vous les conservez. Votre site doit donc comporter :

  • Une politique de confidentialité claire, accessible depuis chaque page.
  • Un consentement explicite avant tout dépôt de cookies non essentiels.
  • Une information sur les droits du patient : accès, rectification, suppression de ses données.

Le consentement doit être libre et sans ambiguïté : une case pré-cochée ne vaut pas accord. Ces mentions ne sont pas de simples formalités, elles témoignent du sérieux que vos patients attendent d'un professionnel de santé.

Sécuriser le site et encadrer les sous-traitants

La conformité ne s'arrête pas au texte. Elle passe par des mesures techniques concrètes :

  • Un certificat HTTPS sur l'ensemble du site, sans exception.
  • Des mots de passe robustes et des accès limités aux seules personnes autorisées.
  • Des mises à jour régulières pour combler les failles de sécurité.

Pensez aussi à vos prestataires : outil de prise de rendez-vous, service d'emailing, hébergeur. Chacun est un sous-traitant au sens du RGPD, et vous devez vous assurer qu'il respecte lui-même la réglementation, idéalement via un contrat dédié. Vous restez responsable des données que vous leur confiez.

Par où commencer concrètement

Se mettre en conformité n'a rien d'insurmontable quand on avance dans le bon ordre : cartographier les données collectées, supprimer ce qui n'est pas indispensable, sécuriser le reste et documenter vos pratiques. Pour une vue d'ensemble adaptée au secteur, notre guide du site de cabinet médical détaille la marche à suivre, de la conformité à la prise de rendez-vous.

Le RGPD n'est pas un obstacle mais une garantie de confiance pour vos patients. En collectant le minimum, en sécurisant votre site et en encadrant vos prestataires, vous transformez une contrainte réglementaire en signe de professionnalisme. Ces sujets peuvent sembler techniques, et c'est justement là que WebFactory intervient : nous concevons des sites de santé pensés pour la conformité dès la première ligne de code. Pour avancer sereinement, demandez un devis pour un site conforme et parlons ensemble de votre projet.